Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Peretas Mengakses Sistem Email FBI Dan Mengirim Spam Ke 100.000 Akun

by

Peretas mengakses sistem email FBI dan mengirim spam ke 100.000 akun pada hari Sabtu, menurut Proyek Spamhaus, sebuah kelompok pengawas spam email.

Organisasi tersebut memposting contoh di Twitter dari salah satu email yang dikirim ke ribuan akun.

Email tersebut memuat subjek “Urgent: Threat actor in systems” dan dimaksudkan untuk datang dari divisi keamanan siber dari Departemen Keamanan Dalam Negeri.

Email tersebut dimaksudkan untuk memperingatkan penerima tentang potensi “exfiltration” – yang berarti penarikan data – dari sistem mereka oleh pakar keamanan siber Vinny Troia dan kelompok penjahat siber The Dark Overlord.

Spamhaus memberikan sejumlah kemungkinan motivasi peretas untuk mengirim pesan tersebut.

“Tiga tindakan: Meyakinkan orang untuk menutup semuanya untuk berjaga-jaga, sementara kebenaran ditentukan, pembunuhan karakter Vinny Troia yang disebutkan di dalamnya, dan membanjiri FBI dengan panggilan. Atau, seperti yang orang lain katakan, ‘untuk lulz’. Mungkin semua dari yang disebutkan di atas. Atau mungkin sesuatu yang lain!” kelompok itu menulis sebuah tweet.

Austin Berglas, kepala layanan profesional di perusahaan keamanan siber BlueVoyant dan mantan agen khusus FBI, mengatakan kepada Bloomberg bahwa sistem email yang diretas bukanlah yang digunakan agen untuk mengirim informasi rahasia di FBI.

FBI mengatakan dalam sebuah pernyataan bahwa mereka mengetahui serangan itu tetapi tidak dapat memberikan informasi lebih lanjut.

Selengkapnya: The Hill

Peneliti menunggu 12 bulan untuk melaporkan kerentanan dengan 9,8 dari 10 peringkat keparahan

by

Sekitar 10.000 server perusahaan yang menjalankan Palo Alto Networks GlobalProtect VPN rentan terhadap bug buffer overflow yang baru saja ditambal dengan peringkat keparahan 9,8 dari kemungkinan 10.

Randori menemukan kerentanan 12 bulan yang lalu dan sebagian besar waktu itu digunakan secara pribadi dalam produk tim merahnya yang membantu pelanggan menguji pertahanan jaringan mereka terhadap ancaman dunia nyata. Norma di kalangan profesional keamanan adalah peneliti secara pribadi wajib melaporkan kerentanan tingkat tinggi kepada vendor sesegera mungkin daripada menimbunnya secara rahasia.

CVE-2021-3064, saat kerentanan dilacak merupakan cacat buffer overflow yang terjadi saat mem-parsing input yang disediakan pengguna di lokasi dengan panjang tetap pada stack. Eksploitasi proof-of-concept yang dikembangkan peneliti Randori menunjukkan kerusakan besar yang dapat terjadi.

Selama beberapa tahun terakhir, peretas telah aktif mengeksploitasi kerentanan dalam serangkaian firewall dan VPN perusahaan seperti Citrix, Microsoft, dan Fortinet, lembaga pemerintah memperingatkan awal tahun ini. Produk perusahaan serupa, termasuk dari Pulse Secure dan Sonic Wall, juga diserang. Sekarang, GlobalProtect Palo Alto Networks mungkin siap untuk bergabung dalam daftar.

CVE-2021-3064 hanya memengaruhi versi yang lebih lama dari PAN-OS 8.1.17, tempat GlobalProtect VPN berada. Peneliti independen Kevin Beaumont mengatakan pencarian Shodan yang dia lakukan menunjukkan bahwa kira-kira setengah dari semua contoh GlobalProtect yang dilihat oleh Shodan rentan.

Luapan terjadi ketika perangkat lunak mem-parsing input yang disediakan pengguna di lokasi dengan panjang tetap di tumpukan. Kode buggy tidak dapat diakses secara eksternal tanpa memanfaatkan apa yang dikenal sebagai penyelundupan HTTP, teknik eksploitasi yang mengganggu cara situs web memproses urutan permintaan HTTP. Kerentanan muncul ketika frontend dan backend situs web menafsirkan batas permintaan HTTP secara berbeda, dan kesalahan menyebabkan mereka tidak sinkron.

Kebingungan merupakan hasil dari kode yang menyimpang dari spesifikasi ketika berhadapan dengan header Content-Length dan Transfer-Encoding. Dalam prosesnya, bagian dari permintaan dapat ditambahkan ke permintaan berikutnya yang memungkinkan respons dari permintaan yang diselundupkan diberikan kepada pengguna lain. Kerentanan penyelundupan permintaan sering kali kritis karena memungkinkan penyerang melewati kontrol keamanan, mendapatkan akses tidak sah ke data sensitif, dan secara langsung membahayakan pengguna aplikasi lain.

Randori mengatakan bahwa risikonya sangat akut untuk versi virtual dari produk yang rentan karena tidak memiliki pengacakan tata letak ruang alamat — mekanisme keamanan yang biasanya disingkat ASLR yang dirancang untuk sangat mengurangi kemungkinan eksploitasi yang berhasil — diaktifkan.

“Pada perangkat dengan ASLR diaktifkan (yang tampaknya menjadi kasus di sebagian besar perangkat keras), eksploitasi sulit tetapi mungkin,” tulis peneliti Randori. “Pada perangkat tervirtualisasi (firewall seri VM), eksploitasi secara signifikan lebih mudah karena kurangnya ASLR dan Randori mengharapkan eksploitasi publik akan muncul. Peneliti Randori belum mengeksploitasi buffer overflow untuk menghasilkan eksekusi kode terkontrol pada versi perangkat keras tertentu dengan CPU bidang manajemen berbasis MIPS karena arsitektur big endian mereka, meskipun overflow dapat dijangkau pada perangkat ini dan dapat dieksploitasi untuk membatasi ketersediaan layanan .”
Apa yang membuatmu begitu lama?

Posting Randori mengatakan peneliti perusahaan menemukan buffer overflow dan cacat penyelundupan HTTP November lalu. Beberapa minggu kemudian, perusahaan “mulai menggunakan rantai kerentanan secara resmi sebagai bagian dari platform tim merah Randori yang berkelanjutan dan otomatis.”

“Alat dan teknik tim merah, termasuk eksploitasi zero-day, diperlukan untuk keberhasilan pelanggan kami dan dunia keamanan siber secara keseluruhan,” tulis CTO Randori David Wolpoff dalam sebuah posting. “Namun, seperti alat ofensif lainnya, informasi kerentanan harus ditangani dengan hati-hati dan dengan rasa hormat yang seharusnya. Misi kami adalah untuk memberikan pengalaman yang sangat berharga bagi pelanggan kami, sekaligus mengenali dan mengelola risiko terkait.”

Selengkapnya : Arstechnica

Grup Cyber-Mercenary “Void Balaur” Menyerang Target Berprofil Tinggi untuk Uang Tunai

by

Grup berbahasa Rusia Void Balaur, juga dilacak dengan nama Rockethack, telah diidentifikasi sebagai kelompok tentara bayaran cyber yang produktif, tersedia untuk disewa untuk membobol email dan akun media sosial dari target profil tinggi dan berisiko tinggi di seluruh dunia. .

Setelah memantau Void Balaur selama lebih dari setahun, Trend Micro telah merilis laporan yang mengidentifikasi lebih dari 3.500 target grup. Amnesty International juga telah mengidentifikasi serangan siber terhadap aktivis dan jurnalis yang bekerja di Uzbekistan yang dilakukan oleh layanan tentara bayaran siber.

“Penelitian kami mengungkapkan gambaran yang jelas: Void Balaur mengejar data paling pribadi dari bisnis dan individu kemudian menjual data itu kepada siapa pun yang ingin membayarnya,” kata laporan Trend Micro.

Target populer kelompok tersebut termasuk situs media dan berita politik, jurnalis dan aktivis hak asasi manusia, kata Trend Micro.

“Void Balaur juga tidak menolak untuk mengejar target profil tinggi, karena kelompok itu juga melancarkan serangan terhadap mantan kepala badan intelijen, menteri pemerintah yang aktif, anggota parlemen nasional di negara Eropa Timur, dan bahkan kandidat presiden, “tambahnya.

Grup tersebut saat ini mengiklankan layanannya di forum bawah tanah Rusia Darkmoney dan Probiv, menurut Trend Micro.

“Void Balaur tampaknya sangat dihormati di forum bawah tanah ini, karena umpan balik untuk layanan mereka hampir dengan suara bulat positif, dengan pelanggan mereka menunjukkan kemampuan aktor ancaman untuk memberikan informasi yang diminta tepat waktu, serta kualitas data yang tersedia. disediakan,” kata laporan itu.

Kelompok ini menggunakan alat malware seperti pencuri kredensial Z*Stealer dan DroidWatcher, yang mencuri data dan menambahkan kemampuan pelacakan dan mata-mata, Trend Micro melaporkan.

Trend Micro menawarkan indikator kompromi Void Balaur sebagai bagian dari laporannya.

Selengkapnya: Threat Post

Pencuri iPhone menggunakan trik ini untuk menonaktifkan “Find My” di perangkat yang dicuri

by

Sayangnya, orang yang mencuri iPhone sama sekali bukan hal baru. Tetapi orang yang menggunakan “Find My” untuk menonaktifkan perangkat mereka biasanya merupakan port panggilan yang baik karena mencegah mereka diakses atau diatur lagi.

Trik baru yang dibagikan oleh salah satu pemilik iPhone yang malang menunjukkan bahwa pencuri menemukan cara baru untuk menyiasati hal-hal seperti “Find My” — dan itu semua terlalu mudah.

Sebuah laporan India Today menceritakan kisah Vedant, seseorang yang kehilangan iPhone 12-nya sebelum melalui semua langkah biasa — termasuk mencoba menggunakan “Find My” untuk menemukannya.

Korban diberitahu bahwa iPhone sedang offline, dan sistem tidak bisa mendapatkan lokasi perangkat yang tepat. Dia kemudian memasukkan iPhone-nya ke mode hilang, memberi tahu polisi, dan memblokir kartu SIM-nya.

Jika Anda mengubah status ponsel Anda menjadi “mode hilang”, ponsel Anda akan terkunci, sehingga tidak ada yang dapat mengakses informasi Anda bahkan setelah menyalakan iPhone.

Beberapa hari berlalu dan diasumsikan bahwa semua harapan hilang. Kemudian, Vedant menerima SMS yang menyarankan iPhone telah ditemukan dan mengetuk tautan akan menampilkan lokasi. Tautan tampak sah karena berisi ‘icloud’ dan ‘findmy’, tetapi ternyata tidak.

Setelah mengetuk tautan, Vedant diminta untuk masuk, yang mereka lakukan — memberi pemilik baru iPhone ID dan kata sandi Apple mereka.

Hanya satu menit setelah memasukkan detailnya, dia mendapat pemberitahuan email yang mengatakan bahwa ID Apple-nya diakses dari desktop Windows. Dia kemudian mengubah kata sandinya dan menghapus desktop windows dari ID Apple-nya, tetapi sudah terlambat saat itu. IPhone curiannya sudah dihapus dari ID Apple-nya dan ‘Temukan saya’ juga dimatikan.

Selengkapnya: iMore

Pembaruan WhatsApp baru memberi Anda lebih banyak kontrol atas privasi Anda

by

Pembaruan beta WhatsApp baru diluncurkan, dengan fitur privasi baru yang akan memudahkan untuk menghindari kontak tertentu atau menyembunyikan informasi Anda dari pengguna tertentu.

Ditemukan oleh WABetaInfo, pembaruan menambahkan opsi baru ke pengaturan privasi “Terakhir dilihat”. Sebelumnya, ini memberi pengguna opsi untuk menunjukkan status mereka kepada semua orang, kontak mereka, atau tidak kepada siapa pun.

Opsi tambahan “Kontak saya kecuali…” memungkinkan pengguna menentukan kontak tertentu yang tidak ingin mereka lihat status Terakhir dilihat.

Ini akan memberi pengguna lebih banyak kontrol atas siapa yang dapat melihat kapan mereka terakhir online, dan mungkin cara yang baik untuk menghindari kontak tertentu, memberi Anda kesan tidak sedang online untuk menanggapi pesan mereka.

Meskipun demikian, mereka tetap dapat melihat saat Anda online. Dan sementara opsi untuk sepenuhnya memblokir kontak selalu ada, opsi ini bertindak lebih sebagai “blok lunak” karena mereka masih dapat menghubungi Anda.

Opsi ini juga tiba untuk foto profil dan bagian “Tentang”. Ini diluncurkan dengan WhatsApp versi beta 2.21.23.14 dan dapat diakses dari pengaturan privasi akun di bawah masing-masing opsi.

Seperti yang ditunjukkan oleh gambar di atas, jika Anda menyembunyikan status “Terakhir dilihat” dari siapa pun, Anda juga tidak akan dapat melihat status mereka. Namun, WABetaInfo mencatat bahwa batasan ini tidak berlaku untuk foto profil atau bagian Tentang.

Fitur ini diluncurkan secara bertahap untuk penguji beta tertentu di ponsel Android terbaik, sehingga Anda yang menggunakan saluran beta mungkin tidak langsung melihat opsi tersebut.

Selengkapnya: Android Central

SharkBot: generasi baru Trojan Android menargetkan bank di Eropa

by

Pada akhir Oktober 2021, trojan perbankan Android baru ditemukan dan dianalisis oleh tim Cleafy TIR. Karena tim peneliti tidak menemukan referensi ke keluarga yang dikenal, tim peneliti memutuskan untuk menjuluki keluarga baru ini SharkBot.

Tujuan utama SharkBot adalah untuk memulai transfer uang dari perangkat yang disusupi melalui teknik Sistem Transfer Otomatis (ATS) melewati mekanisme otentikasi multi-faktor (mis., SCA).

Mekanisme ini digunakan untuk menegakkan verifikasi dan otentikasi identitas pengguna, biasanya dikombinasikan dengan teknik deteksi perilaku untuk mengidentifikasi transfer uang yang mencurigakan.

Tim peneliti mengidentifikasi botnet yang saat ini menargetkan Inggris, Italia, dan AS, termasuk aplikasi perbankan dan pertukaran mata uang kripto. Mengingat arsitektur modularitasnya, tim peneliti tidak mengecualikan keberadaan botnet dengan konfigurasi dan target lain.

Setelah SharkBot berhasil dipasang di perangkat korban, penyerang dapat memperoleh informasi perbankan sensitif melalui penyalahgunaan Layanan Aksesibilitas, seperti kredensial, informasi pribadi, saldo saat ini, dll., tetapi juga untuk melakukan gerakan pada perangkat yang terinfeksi.

Pada saat penulisan, SharkBot tampaknya memiliki tingkat deteksi yang sangat rendah oleh solusi antivirus karena beberapa teknik anti-analisis telah diterapkan: string obfuscation routine, deteksi emulator, dan algoritme pembuatan domain (DGA) untuk komunikasi jaringannya selain fakta bahwa malware telah ditulis dari awal.

SharkBot mengimplementasikan serangan Overlay untuk mencuri kredensial login dan informasi kartu kredit dan juga memiliki kemampuan untuk mencegat komunikasi perbankan yang sah yang dikirim melalui SMS.

Pada saat penulisan, beberapa indikator menunjukkan bahwa SharkBot dapat berada pada tahap awal pengembangannya.

Selengkapnya: Cleafy

Peretas Korea Utara menargetkan “Wadah Pemikir” Korea Selatan melalui konten blog

by

Dalam kampanye baru, yang dilacak sejak Juni 2021, kelompok Advanced Persistent Threat (APT) yang disponsori negara telah mencoba menanam malware berbasis pengawasan dan pencurian pada mesin korban.

Pada hari Rabu, para peneliti dari Cisco Talos mengatakan bahwa APT Kimsuky, juga dikenal sebagai Thallium atau Black Banshee, bertanggung jawab atas gelombang serangan, di mana konten Blogspot berbahaya digunakan untuk memikat “Wadah Pemikir” yang berbasis di Korea Selatan yang penelitiannya berfokus pada politik. , diplomatik, dan topik militer yang berkaitan dengan Korea Utara, Cina, Rusia, dan AS.”

Secara khusus, organisasi geopolitik dan kedirgantaraan tampaknya berada di radar APT.

Kimsuky telah aktif setidaknya sejak 2012. Badan Keamanan Dunia Maya dan Infrastruktur (CISA) AS mengeluarkan penasehat (.PDF) pada APT pada tahun 2020, mencatat bahwa kelompok yang disponsori negara ditugaskan oleh pemerintah Korea Utara dengan “intelijen global mengumpulkan.” Korban sebelumnya telah ditemukan di Korea Selatan, Jepang, dan Amerika Serikat.

AhnLab mengatakan bahwa formulir kompensasi, kuesioner, dan dokumen penelitian yang dilampirkan ke email telah digunakan di masa lalu sebagai umpan phishing, dan dalam kampanye yang dideteksi oleh Talos, dokumen Microsoft Office yang berbahaya masih menjadi vektor serangan utama.

Selengkapnya: ZDNet

Microsoft: Pembaruan keamanan baru memicu masalah autentikasi Windows Server

by

Microsoft mengatakan pengguna mungkin mengalami masalah otentikasi pada Domain Controllers (DC) yang menjalankan Windows Server. setelah menginstal pembaruan keamanan yang dirilis selama Patch November Selasa.

Masalah otentikasi ini memengaruhi sistem yang menjalankan Windows Server 2019 dan versi yang lebih rendah dengan skenario delegasi Kerberos tertentu.

Daftar platform yang terpengaruh juga mencakup Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1, dan Windows Server 2008 SP2.

Masalah otentikasi mencegah pengguna di Active Directory lokal atau lingkungan Azure Active Directory hibrid masuk ke layanan atau aplikasi menggunakan Single Sign-On (SSO).

“Setelah menginstal pembaruan keamanan November, [..] Anda mungkin mengalami kegagalan otentikasi pada server yang berkaitan dengan Tiket Kerberos yang diperoleh melalui S4u2self,” Microsoft menjelaskan di dasbor kesehatan Windows.

“Kegagalan otentikasi adalah akibat dari Tiket Kerberos yang diperoleh melalui S4u2self dan digunakan sebagai tiket bukti untuk transisi protokol untuk didelegasikan ke layanan backend yang gagal validasi tanda tangan.”

Daftar lengkap pembaruan awal untuk masalah umum Windows Server ini meliputi:

  • KB5007206 – Windows Server 2019
  • KB5007192 – Windows Server 2016
  • KB5007247 – Windows Server 2012 R2
  • KB5007260 – Windows Server 2012
  • KB5007236 – Windows Server 2008 R2 SP1
  • KB5007263 – Windows Server 2008 SP2

Microsoft mengatakan sedang mengerjakan resolusi untuk mengatasi masalah Windows Server ini dan memperkirakan bahwa itu akan segera memberikan solusi.

Selengkapnya: Bleeping Computer

Tagged With: